【正文】 列處理， 即 HMD5： {0,1}128+512→{0,1} 128 每一輪的處理會對（ A， B， C， D）進行更新。 ? （ 5）輸出散列值：所有的 N個分組消息都處理完后，最后一輪得到的四個緩沖區(qū)的值即為整個消息的散列值。 18 圖 55 MD5算法主要過程 19 MD5 ? 第 4步中的循環(huán)散列計算 HMD5又稱 MD5的 壓縮函數(shù) ，是 MD5算法的核心 ， 它共由 4輪處理組成 ， 每輪處理都相似 。 ? 每輪都以當前處理的 512bit分組 Yi和 128bit緩沖區(qū) （ A, B, C, D） CVi作為輸入 ， 直接在緩沖區(qū) （ A, B, C, D）內進行運算 ， 輸出 128bit 的 CVi+1仍存放在緩沖區(qū) （ A, B, C, D） 中 ， 作為下一輪處理的輸入 。 MD5安全性 ? 2022年 8月，在美國召開的國際密碼學會議（ Crypto’2022）上，王小云教授給出破解 MD5算法的報告，提出了一個非常高效的尋找碰撞的方法，可以在數(shù)個小時內找到 MD5的碰撞。 MD5算法的抗密碼分析能力弱，不應當再使用。 （對一個 512分組， MD5的函數(shù) HMD5對緩沖區(qū) ABCD的不同值產(chǎn)生相同的輸出，這種情況稱為碰撞。由于碰撞的存在，使 攻擊者可以在不修改散列值的情況下成功替換了消息。） 20 HMAC算法 ? 前面介紹了基于對稱密碼構造的 MAC算法，而 Hash函數(shù)不使用密鑰，它不能像 MAC一樣，用于消息認證，下面給出一種基于 Hash函數(shù)構造 MAC算法的方案，即 HMAC（ Hashed Message Authentication Code 散列消息認證碼 ）算法。 HMAC的設計目標 ? 可以直接使用現(xiàn)有的 Hash函數(shù)； ? 不針對于某一個 Hash函數(shù)，可以根據(jù)需要更換Hash函數(shù)模塊； ? 可保持 Hash函數(shù)的原有性能，不能過分降低其性能； ? 對密鑰的使用和處理應較簡單； ? 如果已知嵌入的 Hash函數(shù)的強度，則可以知道認證機制抵抗密碼分析的強度。 ? 因此， HMAC使用的 Hash函數(shù)并不局限于某一種Hash函數(shù)，使用不同的 Hash函數(shù)，就可得到不同的HMAC算法。 21 HMAC算法 HMAC算法 圖 56 HMAC 的總體 結構 22 HMAC算法 其中， H：嵌入的 Hash函數(shù)（如 MD5）； M： HMAC的消息輸入（包括 Hash函數(shù)所添加的填充位）； ? IV：作為 Hash函數(shù)輸入的初始值； ? Yi： M中的第 i個分組， 0≤i≤ L1； ? L：是 M的分組數(shù)； ? b：每一分組所含的位數(shù)； ? n：使用的 Hash函數(shù)所產(chǎn)生的散列值的位長； ? K：密鑰，建議密鑰長度大于 n。若密鑰長度大于 b，則將密鑰輸入作為 Hash函數(shù)的輸入，產(chǎn)生一個 n位的密鑰。 ? K+：為使 K為 b位長而在 K左邊填充 0后的結果； ? ipad：為重復 b/8次 00110110（十六進制數(shù) 36）的結果； ? opad：為重復 b/8次 01011100（十六進制數(shù) 5C）的結果； 23 HMAC算法 ? HMAC算法的輸出可表示為： HMACk=H[(K+ opad)||H[(K+ ipad)||M]] ? 算法的流程如下： ? （ 1）在密鑰 K的左邊填充 0已產(chǎn)生一個 b比特長的K+（例如 K的長為 160比特， b=512，則需填充 44個 0字節(jié) 0x00）； ? （ 2） K+與 ipad逐比特進行異或運算產(chǎn)生 b比特的分組 Si； ? （ 3）將 M附于 Si之后； ? （ 4）將 H作用于步驟 3所得的結果； ? （ 5） K+與 opad逐比特進行異或運算，產(chǎn)生 b比特的分組 S0； ? （ 6）將步驟 4中的散列值附于 S0之后； ? （ 7）將 H作用于步驟 6所得結果，并將散列值輸出。 ??24 HMAC算法 HMAC算法 圖 56 HMAC 的總體 結構 SiY0Y1YL 1K+i p a dx o rb 位 b 位b 位? HI VH ( Si| | M )nSoK+o p a dx o rHI VnnH M A C ( K | | M )n25 HMAC算法 ? 在上述流程中， K+與 ipad逐比特異或后， K+有一半比特發(fā)生了變化； K+與 opad逐比特異或后， K+的另一半比特也發(fā)生了變化?？梢哉J為 Si和 S0是由 K產(chǎn)生的兩個偽隨機密鑰。 HMAC的實現(xiàn) ? 在實現(xiàn) HMAC時，可以預先求出兩個量，如圖 57虛線左側的量： f(IV， (K+ ipad)) = f(IV， Si) f(IV， (K+ opad)) = f(IV， S0) ? 其中 f是 Hash函數(shù)中的壓縮函數(shù)，其輸入是 n比特的鏈接變量和 b比特的消息分組，輸出是 n比特的鏈接變量。 ? 這兩個量只在初始化或更改密鑰時才預先計算，用于作為 Hash函數(shù)的初值 IV。 ??26 圖 57 HNAC的實現(xiàn)方案 27 數(shù)字簽名 ? 消息認證的作用是保護通信雙方保護消息不被第三方篡改擊，然而卻不能防范通信雙方相互欺騙或偽造。因此在收發(fā)雙方未建立起完全信任關系的情況下，單純的消息認證是不夠的，數(shù)字簽名可有效解決這一問題。 ? 本節(jié)主要介紹數(shù)字簽名特點和數(shù)字簽名算法 DSA。 28 數(shù)字簽名特點 ? 簽名是用于證明當事人的 身份 和 消息 真實性的一種信息。 ? 數(shù)字簽名的目的是提供一種手段，使得一個實體把自己的身份與某信息捆綁在一起。 ? 數(shù)字簽名也是一種認證機制，數(shù)字簽名技術是網(wǎng)絡環(huán)境中確認身份、提供消息完整性和保證信息來源的重要技術，可以提供和現(xiàn)實中的 “ 親筆簽名 ” 相似的效果，在技術上和法律上都有保證。 ? 數(shù)字簽名需要滿足以下條件： ? （ 1）任何人不能偽造簽名人的簽名； ? （ 2）任何人都可以證實簽名人對信息的簽名； ? （ 3）簽名人不能否認自己的簽名。當通信雙方為此發(fā)生爭執(zhí)時，可由第三方仲裁解決。 29 數(shù)字簽名特點 ? 數(shù)字簽名是公鑰密碼學發(fā)展過程中的一個重要組成部分，是公鑰密碼算法的典型應用。公鑰密碼體制可以滿足數(shù)字簽名的條件，采用公鑰密碼體制的數(shù)字簽名過程描述如下。 ? 設 sender向 receiver發(fā)送消息 message， ? （ 1） sender計算： c=D(message)對 message簽名。 D是 解密變換 ，所使用密鑰為 sender私有，任何其他人都不知道 sender的 私鑰 ，因此不能偽造 sender的簽名； ? （ 2） receiver通過檢查 E(c)是否恢復可為message來驗證 sender的簽名。 E是 加密變換 ，是 D的逆變換，使用的是 sender的 公鑰 ，因此任何人都可以證實 sender對 message的簽名。 ? （ 3）如果 sender和 receiver之間發(fā)生爭執(zhí)，仲裁者可以使用（ 2）的方法鑒定 sender的簽名。Sender無法抵賴否認自己的簽名。 30 對比 ?① 公鑰加密：發(fā)送方用接收方的 公鑰 對明文做 加密變換 ，將產(chǎn)生的密文發(fā)給接收方。接收方用自己的私鑰 對密文做 解密變換 。 ?由于只有接收方擁有該私鑰，因此只有接收方才能解密密文，得到明文； ?② 數(shù)字簽名：發(fā)送方用自己的 私鑰 對消息做 解密變換 ，將產(chǎn)生的